Apple выпустила срочные обновления безопасности для старых моделей iPhone, чтобы устранить ряд уязвимостей нулевого дня, отслеживаемых под общим названием «Coruna». Эта сложная цепочка эксплойтов, обнаруженная исследователями кибербезопасности компании Bitdefender, активно использовалась в целевых шпионских кампаниях и для кражи криптовалюты. Патчи, включенные в iOS 12.5.7, критически важны для таких устройств, как iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения), которые больше не получают стандартных обновлений iOS. Кампания «Coruna» представляет собой серьезную угрозу, демонстрируя, что старые, неподдерживаемые устройства остаются высокоценными целями для условно-постоянных угроз (APT), стремящихся проникнуть в сети и похитить конфиденциальные финансовые активы.
Цепочка эксплойтов «Coruna» представляет собой многоэтапную атаку, использующую несколько критических уязвимостей в WebKit, браузерном движке Apple, и в ядре iOS. Злоумышленники обычно начинали компрометацию, заманивая жертв на вредоносные веб-сайты. Эти сайты содержали специально созданный код, который при отображении использовал уязвимости WebKit для выполнения произвольного кода, эффективно вырываясь из песочницы браузера. Затем эта первоначальная точка опоры использовалась для развертывания дополнительных эксплойтов, нацеленных на ядро, что предоставляло злоумышленникам полный, постоянный контроль над устройством. Такой уровень доступа позволял устанавливать мощное шпионское ПО, способное собирать сообщения, электронные письма, данные о местоположении и живые записи с микрофона, оставаясь при этом незаметным.
Особую тревогу у специалистов по безопасности вызывает двойной характер атак «Coruna». В то время как инфраструктура и методы несут отпечатки групп шпионажа, связанных с государствами, те же эксплойты также были использованы для финансовых преступлений. Исследователи наблюдали, как модули вредоносного ПО использовались для перехвата криптовалютных транзакций путем манипулирования данными буфера обмена — распространенная тактика, при которой адрес кошелька, скопированный пользователем, незаметно заменяется адресом, контролируемым злоумышленником, что приводит к переводу средств. Это смешение шпионажа и финансовой кражи максимизирует отдачу от инвестиций для угрозовых акторов и расширяет пул потенциальных жертв за пределы традиционных дипломатических или государственных целей, включая любого человека, владеющего ценными криптоактивами.
Для пользователей затронутых старых устройств установка обновления iOS 12.5.7 является безотлагательной и безусловной необходимостью безопасности. Этот инцидент подчеркивает постоянную проблему в кибербезопасности: долгосрочный риск устаревших систем. Организации и частные лица должны понимать, что устройства, вышедшие за пределы стандартного жизненного цикла поддержки вендора, не становятся невосприимчивыми к угрозам; они часто становятся более привлекательными целями из-за отсутствия патчей. Хотя переход на поддерживаемое устройство является наиболее надежным долгосрочным решением, этот экстренный патч от Apple является жизненно важной временной мерой. Он служит stark reminder того, что комплексная цифровая гигиена выходит за рамки самого современного программного обеспечения и должна включать стратегическое планирование окончательного вывода из эксплуатации всех аппаратных и программных активов.
